Банки под обстрелом. Вредоносное ПО vs. финансовые компании
У многих людей слово "хакер" ассоциируется со словом "банк". Это неудивительно, ведь на протяжении нескольких десятилетий взломщики, которые хотели "достать" много денег, обращали свой расчетливый взор именно на банки. И это вполне объяснимо: что может дать наибольшее количество денег, если не атака на крупный банк?
Но взламывать серверы, управляющие транзакциями и счетами, — дело неблагодарное. Это привлечет слишком много внимания, а повышенное внимание увеличивает риск быть пойманным. Поэтому намного интереснее для взломщика совсем другой вариант — он заключается в получении доступа к активу одного из клиентов банка. Все достаточно просто: меньше масштаб взлома — больше шансов остаться на свободе — обратная пропорциональность, говоря на математическом языке. Именно на этом я бы и хотел сегодня остановиться. В этой статье я разберу следующие моменты: виды и работу вредоносного ПО, которое специализируется на банках и других финансовых организациях, приемы социального инжиниринга, которыми пользуются взломщики, атаки, которые проводятся с целью заполучить информацию о счете или перехватить управление транзакцией. А также поразмышляю на тему, "а как этого избежать".
Financial malware — именно такое название носят зловреды, ориентированные на финансовые компании в классификациях антивирусных лабораторий. При этом к денежному вредоносному ПО могут относиться не только программы одного класса (например, не исключительно троянцы-daunloader'ы, но и keylogger' и т.п.). Для начала, думаю, полезно будет пробежаться немного по статистике. Это очень поможет нам в процессе осознания сложившейся на данный момент ситуации и ее отличия от ситуаций, которые имели место в прошлом.
Немного статистики
Согласно статистическим данным Лаборатории Касперского, после снижения активности написания финансовых зловредов в конце 2006 года был отмечен резкий скачок из количества в сети, который уже пришелся на 2007 год. Обратите внимание на график (рис. 1) — видно, что скачок не был импульсным, а как раз наоборот: средние показатели почти стабильно держались на достаточно больших значениях. Естественно, увеличение количества вредоносного ПО, нацеленного на финансы, принесло за собой и увеличение атак на банки. Теперешняя ситуация немного меняется, т.к. значения стали падать (см. график), однако количество атак на банки остается на прежнем уровне. В качестве первой причины, которая привела к такому повороту событий, я хотел бы выделить большой выбор технологий атак. Взломщики используют совершенно разные по сути методики, и не все из них требуют участия вредоносного ПО — отсюда и разница. Вторая же причина заключается в том, что большинство взломщиков предпочитают модифицировать готовую программу, нежели писать что-то совершенно новое. Это вполне понятно — зачем сидеть несколько дней, если достаточно нескольких часов?
В основном банковские зловреды нацелены на определенный регион. Это послужило толчком к созданию ПО, которое может проводить атаку на несколько банков (обычно 1-3), как правило, расположенных в одном регионе. Злоумышленник не может подготовить зловреда для банка другой страны, прежде чем не ознакомиться с его структурой защиты, а сделать это легче всего с банком, который под рукой. Ниже приведен еще один график, который отражает в процентах количество зловредов, способных атаковать несколько банков (рис. 2). Кроме того, в последнее время наблюдается внедрение или прикрепление к зловредам финансового типа руткит (rootkit) технологий, задача которых заключается в защите вредоносного ПО от антивирусных систем и их технологий проверки. Учитывая, что руткиты находятся сейчас на довольно высоком уровне развития, и их технологии позволяют успешно обманывать антивирусы, это неплохо затрудняет работу антивирусным лабораториям.
К способам защиты относится и полиморфизм, только не тот, о котором вы все подумали. Дело в том, что классические полиморфик-вирусы без проблем определяются антивирусными сканерами. На новом уровне развития стал активно использоваться серверный полиморфизм, который отличается тем, что скрипт модификации кода находится не в теле вируса, а на удаленном сервере. Таким образом, алгоритм скрипта невозможно проанализировать, а значит, и определить зловреда намного сложнее — остается только generic-обнаружение (обнаружение по общим признакам вредоносного ПО), а это не так надежно, как сигнатура.
Обман
Фишинг и денежные мулы (money mules) — две техники обмана. При этом первая призвана украсть у человека данные обманным путем, а вторая — "отмыть" украденные деньги. Давайте по порядку. Активность рассылки "липовых" писем по-прежнему остается высокой — это свидетельствует о том, что обман достаточно эффективен. Пользователи попадаются на удочку снова и снова. Причин тому может быть несколько. Пожалуй, самая глупая — игнорирование информации о фишинг-рассылках — наше исконно национальное "авось пронесет". Второй причиной можно назвать простую неосведомленность пользователей в плане безопасности, как следствие — игнорирование сообщений об отсутствии сертификатов. В общем, итог один и тот же — пользователь без сомнений проходит по ссылке и вводит данные о счете (пластиковой кредитной карте) в форму поддельного сайта банка. Есть тут и вина банков, и заключается она в том, что в большинстве их систем безопасности используются статические пароли. Злоумышленнику достаточно получить пароль, и доступ к аккаунту у него в кармане. Изменить ситуацию могут только динамические пароли, которые могут отсылаться клиенту почтой, SMS или просто передаваться в банке на носителе. Однако большинство банков предпочитают простые статические пароли — в этом и заключается их слабость.
Денежные мулы (еще их называют дропами), как я уже говорил, призваны "отмывать" деньги. Делается все довольно просто: на сайте вакансий публикуется объявление. "Финансовый менеджер", заключая договор, ни о чем не подозревает. При работе финансовых мулов используются системы электронных денег: на кошельки мула приходят средства, которые он должен перевести на другие кошельки, при этом оставить себе комиссию в 5-15%. Это помогает злоумышленникам избежать наказания в случае, если операция будет раскрыта и прослежена банком или же сотрудниками спецслужб. Кроме того, мулы в большинстве случаев рассматриваются как соучастники, поэтому не стоит вешать бирку "легкий заработок" на это занятие.
the Net
Думаю, что подзаголовок показался вам странным. Сейчас я сделаю небольшое пояснение: тут собрана информация обо всех атаках, которые так или иначе связаны с трафиком, его передачей и т.п.
Первой в очереди стоит атака, которая широко используется для взлома; это — перенаправление трафика. Одним из самых простых способов перенаправления является изменение файла hosts, который находится в руте системы по адресу system32\drivers\etc. При помощи этого файла можно избежать запросов на DNS-сервер. Такие серверы (DNS) преобразуют доменные имена в IP-адреса, потому как обратиться к серверу можно только по адресу. Если определенным образом изменить файл, то можно добиться того, что при вводе определенного доменного имени запрос будет отправляться на фальшивый сервер.
Следующим в списке будет идти уже знакомая многим и не раз описанная мной атака MitM (Man-in-the-Middle). Напомню: эта атака заключается, как ясно из названия, в том, что между сервером-адресатом и хостом-отправителем существует канал перехвата данных. Естественно, данные, которые отправил пользователь, могут быть изменены или "подправлены" для получения нужного злоумышленнику результата. Естественно, перехват происходит посредством финансовых зловредов, которые и работают в качестве диверсанта на компьютере-жертве. В таких случаях владелец аккаунта в системе интернет-банкинга может спровоцировать одну сделку, а подправленная информация, приходящая на сервер, произведет другую.
Еще одной техникой атак, которая относится к new school, является Man-in-the-Endpoint. Эта атака отличается от MitM'а только тем, что изменение трафика происходит не на "середине", а на локальной машине. Затраты времени, конечно, намного больше, однако при проведении незаконной транзакции не присутствуют лишние IP, что, опять же, снижает вероятность привлечения внимания. Процесс имеет примерно такой вид: троянец инфицирует систему и отправляет трафик на удаленный компьютер, где вирусописатель, анализируя полученную информацию, подготавливает другого трояна для атаки на конкретный банковский ресурс.
И что мы можем сделать?
Однозначно, что защитить банковскую систему окончательно просто невозможно. Когда главным недостатком были статические пароли, проблему решали (и очень успешно) любые зловреды, которые перехватывали нажатия клавиш, или поддельные формы на фальшивых сайтах. Когда же все опомнились и стали вводить в строй системы динамических паролей, то это решило проблемы со статическими, но не остановило злоумышленников — в бой пошли атаки, нацеленные на трафик. Поэтому единственное, что можно сделать, — постоянно контролировать состояние, вести логии и анализировать подозрительные транзакции. Это решит часть проблем, остальную же часть необходимо решать путем постоянной модификации систем защиты, т.к. в войне Hack vs. Security противостояние меняется в двух направлениях и, скорее всего, не придет в равновесие еще не одно столетие. Поэтому все зависит от скорости. К сожалению, пока убытки от атак на финансовые организации растут, что огорчает. Поэтому остается надеяться лишь на профессионалов в сфере ИБ, которым под силу в некотором роде привнести часть стабилизации в эту сферу. На этом я закончу — надеюсь, что изложенная информация заставила вас задуматься о ситуации, а самое главное — о своем состоянии:).
Евгений Кучук, q@sa-sec.org
Но взламывать серверы, управляющие транзакциями и счетами, — дело неблагодарное. Это привлечет слишком много внимания, а повышенное внимание увеличивает риск быть пойманным. Поэтому намного интереснее для взломщика совсем другой вариант — он заключается в получении доступа к активу одного из клиентов банка. Все достаточно просто: меньше масштаб взлома — больше шансов остаться на свободе — обратная пропорциональность, говоря на математическом языке. Именно на этом я бы и хотел сегодня остановиться. В этой статье я разберу следующие моменты: виды и работу вредоносного ПО, которое специализируется на банках и других финансовых организациях, приемы социального инжиниринга, которыми пользуются взломщики, атаки, которые проводятся с целью заполучить информацию о счете или перехватить управление транзакцией. А также поразмышляю на тему, "а как этого избежать".
Financial malware — именно такое название носят зловреды, ориентированные на финансовые компании в классификациях антивирусных лабораторий. При этом к денежному вредоносному ПО могут относиться не только программы одного класса (например, не исключительно троянцы-daunloader'ы, но и keylogger' и т.п.). Для начала, думаю, полезно будет пробежаться немного по статистике. Это очень поможет нам в процессе осознания сложившейся на данный момент ситуации и ее отличия от ситуаций, которые имели место в прошлом.
Немного статистики
Согласно статистическим данным Лаборатории Касперского, после снижения активности написания финансовых зловредов в конце 2006 года был отмечен резкий скачок из количества в сети, который уже пришелся на 2007 год. Обратите внимание на график (рис. 1) — видно, что скачок не был импульсным, а как раз наоборот: средние показатели почти стабильно держались на достаточно больших значениях. Естественно, увеличение количества вредоносного ПО, нацеленного на финансы, принесло за собой и увеличение атак на банки. Теперешняя ситуация немного меняется, т.к. значения стали падать (см. график), однако количество атак на банки остается на прежнем уровне. В качестве первой причины, которая привела к такому повороту событий, я хотел бы выделить большой выбор технологий атак. Взломщики используют совершенно разные по сути методики, и не все из них требуют участия вредоносного ПО — отсюда и разница. Вторая же причина заключается в том, что большинство взломщиков предпочитают модифицировать готовую программу, нежели писать что-то совершенно новое. Это вполне понятно — зачем сидеть несколько дней, если достаточно нескольких часов?
В основном банковские зловреды нацелены на определенный регион. Это послужило толчком к созданию ПО, которое может проводить атаку на несколько банков (обычно 1-3), как правило, расположенных в одном регионе. Злоумышленник не может подготовить зловреда для банка другой страны, прежде чем не ознакомиться с его структурой защиты, а сделать это легче всего с банком, который под рукой. Ниже приведен еще один график, который отражает в процентах количество зловредов, способных атаковать несколько банков (рис. 2). Кроме того, в последнее время наблюдается внедрение или прикрепление к зловредам финансового типа руткит (rootkit) технологий, задача которых заключается в защите вредоносного ПО от антивирусных систем и их технологий проверки. Учитывая, что руткиты находятся сейчас на довольно высоком уровне развития, и их технологии позволяют успешно обманывать антивирусы, это неплохо затрудняет работу антивирусным лабораториям.
К способам защиты относится и полиморфизм, только не тот, о котором вы все подумали. Дело в том, что классические полиморфик-вирусы без проблем определяются антивирусными сканерами. На новом уровне развития стал активно использоваться серверный полиморфизм, который отличается тем, что скрипт модификации кода находится не в теле вируса, а на удаленном сервере. Таким образом, алгоритм скрипта невозможно проанализировать, а значит, и определить зловреда намного сложнее — остается только generic-обнаружение (обнаружение по общим признакам вредоносного ПО), а это не так надежно, как сигнатура.
Обман
Фишинг и денежные мулы (money mules) — две техники обмана. При этом первая призвана украсть у человека данные обманным путем, а вторая — "отмыть" украденные деньги. Давайте по порядку. Активность рассылки "липовых" писем по-прежнему остается высокой — это свидетельствует о том, что обман достаточно эффективен. Пользователи попадаются на удочку снова и снова. Причин тому может быть несколько. Пожалуй, самая глупая — игнорирование информации о фишинг-рассылках — наше исконно национальное "авось пронесет". Второй причиной можно назвать простую неосведомленность пользователей в плане безопасности, как следствие — игнорирование сообщений об отсутствии сертификатов. В общем, итог один и тот же — пользователь без сомнений проходит по ссылке и вводит данные о счете (пластиковой кредитной карте) в форму поддельного сайта банка. Есть тут и вина банков, и заключается она в том, что в большинстве их систем безопасности используются статические пароли. Злоумышленнику достаточно получить пароль, и доступ к аккаунту у него в кармане. Изменить ситуацию могут только динамические пароли, которые могут отсылаться клиенту почтой, SMS или просто передаваться в банке на носителе. Однако большинство банков предпочитают простые статические пароли — в этом и заключается их слабость.
Денежные мулы (еще их называют дропами), как я уже говорил, призваны "отмывать" деньги. Делается все довольно просто: на сайте вакансий публикуется объявление. "Финансовый менеджер", заключая договор, ни о чем не подозревает. При работе финансовых мулов используются системы электронных денег: на кошельки мула приходят средства, которые он должен перевести на другие кошельки, при этом оставить себе комиссию в 5-15%. Это помогает злоумышленникам избежать наказания в случае, если операция будет раскрыта и прослежена банком или же сотрудниками спецслужб. Кроме того, мулы в большинстве случаев рассматриваются как соучастники, поэтому не стоит вешать бирку "легкий заработок" на это занятие.
the Net
Думаю, что подзаголовок показался вам странным. Сейчас я сделаю небольшое пояснение: тут собрана информация обо всех атаках, которые так или иначе связаны с трафиком, его передачей и т.п.
Первой в очереди стоит атака, которая широко используется для взлома; это — перенаправление трафика. Одним из самых простых способов перенаправления является изменение файла hosts, который находится в руте системы по адресу system32\drivers\etc. При помощи этого файла можно избежать запросов на DNS-сервер. Такие серверы (DNS) преобразуют доменные имена в IP-адреса, потому как обратиться к серверу можно только по адресу. Если определенным образом изменить файл, то можно добиться того, что при вводе определенного доменного имени запрос будет отправляться на фальшивый сервер.
Следующим в списке будет идти уже знакомая многим и не раз описанная мной атака MitM (Man-in-the-Middle). Напомню: эта атака заключается, как ясно из названия, в том, что между сервером-адресатом и хостом-отправителем существует канал перехвата данных. Естественно, данные, которые отправил пользователь, могут быть изменены или "подправлены" для получения нужного злоумышленнику результата. Естественно, перехват происходит посредством финансовых зловредов, которые и работают в качестве диверсанта на компьютере-жертве. В таких случаях владелец аккаунта в системе интернет-банкинга может спровоцировать одну сделку, а подправленная информация, приходящая на сервер, произведет другую.
Еще одной техникой атак, которая относится к new school, является Man-in-the-Endpoint. Эта атака отличается от MitM'а только тем, что изменение трафика происходит не на "середине", а на локальной машине. Затраты времени, конечно, намного больше, однако при проведении незаконной транзакции не присутствуют лишние IP, что, опять же, снижает вероятность привлечения внимания. Процесс имеет примерно такой вид: троянец инфицирует систему и отправляет трафик на удаленный компьютер, где вирусописатель, анализируя полученную информацию, подготавливает другого трояна для атаки на конкретный банковский ресурс.
И что мы можем сделать?
Однозначно, что защитить банковскую систему окончательно просто невозможно. Когда главным недостатком были статические пароли, проблему решали (и очень успешно) любые зловреды, которые перехватывали нажатия клавиш, или поддельные формы на фальшивых сайтах. Когда же все опомнились и стали вводить в строй системы динамических паролей, то это решило проблемы со статическими, но не остановило злоумышленников — в бой пошли атаки, нацеленные на трафик. Поэтому единственное, что можно сделать, — постоянно контролировать состояние, вести логии и анализировать подозрительные транзакции. Это решит часть проблем, остальную же часть необходимо решать путем постоянной модификации систем защиты, т.к. в войне Hack vs. Security противостояние меняется в двух направлениях и, скорее всего, не придет в равновесие еще не одно столетие. Поэтому все зависит от скорости. К сожалению, пока убытки от атак на финансовые организации растут, что огорчает. Поэтому остается надеяться лишь на профессионалов в сфере ИБ, которым под силу в некотором роде привнести часть стабилизации в эту сферу. На этом я закончу — надеюсь, что изложенная информация заставила вас задуматься о ситуации, а самое главное — о своем состоянии:).
Евгений Кучук, q@sa-sec.org
Компьютерная газета. Статья была опубликована в номере 01 за 2009 год в рубрике безопасность